DMZ - konzeptuelle Gedankenstütze gesucht ...
Hallo alle,...
... in einem Netzwerk, welches ich vor kurzem betreuungstechnisch
übernehmen durfte, ist folgende Situation gegeben:
- Die Firma hat DSL-Standleitung mit insgesamt 4 öffentlichen
IP-Adressen.
- Gegenwärtig wird eine der IP-Adressen genutzt und hängt am
externen Interface einer GNU/Linux-Firewall.
- Intern hängen am Router das "richtige" Intranet und eine DMZ
(wobei diese lediglich aus einem über Crossover-Kabel mit einem
dritten NIC im Router verbundenen Host besteht). Dieser Host ist
sowohl von außen erreichbarer FTP- als auch von innen erreichbarer
Samba-Server sowie Reverse Proxy für die Web-Frontends der
produktiven Server, die im richtigen LAN stehen (müssen).
Das Setup ist im Grunde genommen logisch und klar, weswegen ich mir
bislang keine größeren Gedanken gemacht habe. Sinnvollerweise sollen
jetzt allerdings (aus verschiedenen Gründen) die drei verbleibenden
öffentlichen IP-Adressen ebenfalls richtig verwendet werden, wofür
mir prinzipiell zwei Möglichkeiten vorschweben:
(a) Der einfachste Weg schiene mir, die gegenwärtige Firewall auf
drei weitere Maschinen zu kopieren und diese Kopien an die
anderen IP-Adressen zu hängen. Sollte eine schnelle Lösung sein,
für die mir allerdings aus dem Stand einige Nachteile einfallen
(wovon der erhöhte administrative Aufwand für vier statt einer
Firewall noch der kleinste ist).
(b) Andererseits steht die Idee, die drei weiteren IP-Adressen
direkt auf Hosts in der DMZ zu verteilen, wo ich allerdings den
Nachteil sehe, daß für die DMZ derzeit ein Adreßraum verwendet
wird, der nicht zu den öffentlichen IP's paßt (zwangsläufig).
Fragen meinerseits:
- Prinzipiell und wichtigstens: Kann mir jemand Doku empfehlen, in
der man konzeptuelle und grundlegende Aspekte zum Thema DMZ
nachlesen kann? google und tldp waren leider nicht sehr hilfreich,
was das betrifft, ich würd' allerdings hier schon gern genauer
verstehen, was ich treibe, bevor ich Hand an das Setup lege.
- Wie handhabt Ihr solche Netzwerk-Setups?
TIA, schön' Tag Euch allen...
Kris
--
Für Freiheit und die Wahrung demokratischer Grundrechte im
Informationszeitalter - gegen Zensur, Manipulation und digitale
Entmündigung. Schütze Deine Rechte - sag _DEINE_ Meinung!
--------------- http://www.stop1984.org ----------------------
Reply to: